はじめに OAuth 2.0 のフローをシーケンス図で説明したWeb上の記事や書籍を何度か見かけたことがありますが、 フローの概要に加え、クライアントや認可サーバー側でどういったパラメータを元に何を検証しているのかも一連のフローとして理解したかった RFC 7636 Proof Key for Code Exchange (PKCE) も含めた流れを整理したかった というモチベーションがあり、自分でシーケンス図を書きながら流れを整理してみた、という趣旨です。 記事の前提や注意事項 OAuth 2.0 の各種フローのうち、認可コードフローのみ取り上げています 認可コードフローとはなにか、PKCE とはなにかという説明は割愛しています 概要について、個人的にはこちらの動画が非常にわかりやすかったです: OAuth & OIDC 入門編 by #authlete - YouTube 認可コードフ
![OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する](https://cdn-ak-scissors.b.st-hatena.com/image/square/7fa0b17bf9ec95355a642ea097f29012e21754ca/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--8L1wrBI6--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3AOAuth%2525202.0%252520%2525E8%2525AA%25258D%2525E5%25258F%2525AF%2525E3%252582%2525B3%2525E3%252583%2525BC%2525E3%252583%252589%2525E3%252583%252595%2525E3%252583%2525AD%2525E3%252583%2525BC%25252BPKCE%252520%2525E3%252582%252592%2525E3%252582%2525B7%2525E3%252583%2525BC%2525E3%252582%2525B1%2525E3%252583%2525B3%2525E3%252582%2525B9%2525E5%25259B%2525B3%2525E3%252581%2525A7%2525E7%252590%252586%2525E8%2525A7%2525A3%2525E3%252581%252599%2525E3%252582%25258B%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3AShingo%252520Yamazaki%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2lsN0pQbDM5OE9wemtMWU9jcVRUSHgzQi0xRC1wQXkwS0t3T29iRFE9czI1MC1j%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)